Partilhar via

Identificar os participantes do projeto de implantação

A primeira etapa em um projeto de implantação do AD DS (Active Directory Domain Services) é estabelecer as equipes de projeto de design e implantação que serão responsáveis por gerenciar a fase de design e a fase de implantação do ciclo de projeto do Active Directory. Além disso, você deve identificar os indivíduos e grupos que serão responsáveis por deter e manter o diretório após a conclusão da implantação.

Como definir as funções específicas do projeto

Uma etapa importante para estabelecer as equipes de projeto é identificar os indivíduos que devem ter funções específicas do projeto. Isso inclui o patrocinador executivo, o arquiteto de projetos e o gerente de projetos. Esses indivíduos são responsáveis por executar o projeto de implantação do Active Directory.

Depois de nomear o arquiteto de projetos e o gerente de projetos, esses indivíduos estabelecem canais de comunicação em toda a organização, criam cronogramas de projeto e identificam os indivíduos que serão membros das equipes de projeto, começando com os vários proprietários.

Patrocinador executivo

A implantação de uma infraestrutura como o AD DS pode ter um grande impacto em uma organização. Por esse motivo, é importante ter um patrocinador executivo que entenda o valor comercial da implantação, dê suporte ao projeto no nível executivo e possa ajudar a resolver conflitos em toda a organização.

Arquiteto de projetos

Cada projeto de implantação do Active Directory exige que um arquiteto de projetos gerencie o processo de tomada de decisão de design e implantação do Active Directory. O arquiteto fornece experiência técnica para ajudar no processo de criação e implantação do AD DS.

Observação

Se sua organização não tiver funcionários com experiência de design de diretório, convém contratar um consultor externo que seja especialista em design e implantação do Active Directory.

As responsabilidades do arquiteto de projetos do Active Directory incluem o seguinte:

  • Deter o design do Active Directory

  • Entender e registrar a lógica das principais decisões de design

  • Garantir que o design atenda às necessidades de negócios da organização

  • Estabelecer um consenso entre as equipes de design, implantação e operações

  • Compreender as necessidades dos aplicativos integrados ao AD DS

O design final do Active Directory deve representar uma combinação de metas de negócios e decisões técnicas. Portanto, o arquiteto de projetos deve examinar as decisões de design para garantir que estejam alinhadas às metas de negócios.

Gerenciamento de projetos

O gerente de projetos facilita a cooperação entre unidades de negócios e entre grupos de gerenciamento de tecnologia. O ideal é que o gerente de projetos de implantação do Active Directory seja alguém de dentro da organização, familiarizado com as políticas operacionais do grupo de TI e os requisitos de design para os grupos que estão se preparando para implantar o AD DS. O gerente de projetos supervisiona todo o projeto de implantação, começando com o design e continuando com a implementação, e ele garante que o projeto permaneça dentro do cronograma e do orçamento. As responsabilidades do gerente de projetos incluem o seguinte:

  • Fornecer o planejamento básico de projetos, como cronograma e orçamento

  • Impulsionar o progresso no projeto de design e implantação do Active Directory

  • Garantir que os indivíduos apropriados estejam envolvidos em cada parte do processo de design

  • Atuar como ponto único de contato para o projeto de implantação do Active Directory

  • Estabelecer uma comunicação entre as equipes de design, implantação e operações

  • Estabelecer e manter a comunicação com o patrocinador executivo durante todo o projeto de implantação

Como estabelecer os proprietários e administradores

Em um projeto de implantação do Active Directory, os proprietários são responsáveis pelo gerenciamento para garantir que as tarefas de implantação sejam concluídas e que as especificações de design do Active Directory atendam às necessidades da organização. Os proprietários não necessariamente têm acesso ou manipulam a infraestrutura de diretório diretamente. Os administradores são responsáveis por concluir as tarefas de implantação necessárias. Os administradores têm o acesso à rede e as permissões necessárias para manipular o diretório e sua infraestrutura.

O papel do proprietário é estratégico e gerencial. Os proprietários são responsáveis por comunicar aos administradores as tarefas necessárias para a implementação do design do Active Directory, como a criação de novos controladores de domínio na floresta. Os administradores são responsáveis por implementar o design na rede de acordo com as especificações de design.

Em grandes organizações, diferentes indivíduos ocupam as funções de proprietário e administrador. No entanto, em algumas organizações pequenas, o mesmo indivíduo pode atuar como proprietário e administrador.

Proprietários de serviços e dados

O gerenciamento diário do AD DS envolve dois tipos de proprietários:

  • Os proprietários de serviços, que são responsáveis pelo planejamento e pela manutenção de longo prazo da infraestrutura do Active Directory e por garantir que o diretório continue funcionando e que as metas estabelecidas nos contratos de nível de serviço sejam mantidas.
  • Os proprietários de dados, que são responsáveis pela manutenção das informações armazenadas no diretório. Isso inclui o gerenciamento de contas de usuário e computador e o gerenciamento de recursos locais, como servidores membros e estações de trabalho.

É importante identificar os proprietários de serviços e dados do Active Directory antecipadamente para que possam participar o máximo possível do processo de design. Como os proprietários de serviços e dados são responsáveis pela manutenção de longo prazo do diretório após a conclusão do projeto de implantação, é importante que esses indivíduos forneçam informações sobre as necessidades organizacionais e estejam familiarizados com a forma e o motivo da tomada de determinadas decisões de design. Os proprietários de serviços incluem o proprietário da floresta, o proprietário do DNS (Serviço de Nomes de Domínio) do Active Directory e o proprietário da topologia do site. Os proprietários de dados incluem os proprietários da UO (unidade organizacional).

Administradores de serviços e dados

A operação do AD DS envolve dois tipos de administradores: administradores de serviços e administradores de dados. Os administradores de serviços implementam as decisões de política tomadas pelos proprietários de serviços e lidam com as tarefas diárias associadas à manutenção do serviço de diretório e da infraestrutura. Isso inclui o gerenciamento dos controladores de domínio que hospedam o serviço de diretório, o gerenciamento de outros serviços de rede, como o DNS, que são necessários para o AD DS, o controle das configurações em toda a floresta e a garantia de que o diretório esteja sempre disponível.

Os administradores de serviços também são responsáveis por concluir as tarefas de implantação contínuas do Active Directory, que são necessárias após a conclusão do processo inicial de implantação do Active Directory do Windows Server 2008. Por exemplo, à medida que as demandas no diretório aumentam, os administradores de serviços criam controladores de domínio adicionais e estabelecem ou removem relações de confiança entre domínios, conforme necessário. Por esse motivo, a equipe de implantação do Active Directory precisa incluir administradores de serviços.

Você deve ter cuidado para atribuir as funções de administrador de serviços somente a indivíduos confiáveis na organização. Como esses indivíduos são capazes de modificar os arquivos do sistema nos controladores de domínio, eles podem alterar o comportamento do AD DS. Você deve garantir que os administradores de serviços na sua organização sejam indivíduos familiarizados com as políticas operacionais e de segurança em vigor na sua rede e que entendam a necessidade de impor essas políticas.

Os administradores de dados são usuários em um domínio, responsáveis pela manutenção dos dados armazenados no AD DS, como contas de usuário e grupo, e pela manutenção dos computadores membros do seu domínio. Os administradores de dados controlam os subconjuntos de objetos no diretório e não têm controle sobre a instalação ou a configuração do serviço de diretório.

As contas de administrador de dados não são fornecidas por padrão. Depois que a equipe de design determina como os recursos devem ser gerenciados para a organização, os proprietários de domínio devem criar contas de administrador de dados e delegar as permissões apropriadas com base no conjunto de objetos pelos quais os administradores devem ser responsáveis.

É melhor limitar o número de administradores de serviços na sua organização ao número mínimo necessário para garantir que a infraestrutura continue funcionando. A maioria dos trabalhos administrativos pode ser concluída pelos administradores de dados. Os administradores de serviços exigem um conjunto de habilidades muito mais amplo, pois são responsáveis por manter o diretório e a infraestrutura de suporte do mesmo. Os administradores de dados exigem apenas as habilidades necessárias para gerenciar a parte deles do diretório. Dividir atribuições de trabalho dessa forma resulta em economia de custos para a organização, pois apenas um pequeno número de administradores precisa ser treinado para operar e manter todo o diretório e sua infraestrutura.

Por exemplo, um administrador de serviços precisa entender como adicionar um domínio a uma floresta. Isso inclui como instalar o software para converter um servidor em um controlador de domínio e como manipular o ambiente DNS para que o controlador de domínio possa ser mesclado perfeitamente no ambiente do Active Directory. Um administrador de dados só precisa saber como gerenciar os dados específicos pelos quais ele é responsável, como a criação de novas contas de usuário para novos funcionários no seu departamento.

A implantação do AD DS exige coordenação e comunicação entre muitos grupos diferentes envolvidos na operação da infraestrutura de rede. Esses grupos devem nomear proprietários de serviços e dados responsáveis por representar os vários grupos durante o processo de design e implantação.

Depois que o projeto de implantação for concluído, esses proprietários de serviços e dados continuarão a ser responsáveis pela parte da infraestrutura gerenciada pelo respectivo grupo. Em um ambiente do Active Directory, esses proprietários incluem o proprietário da floresta, o DNS para o proprietário do AD DS, o proprietário da topologia do site e o proprietário da UO. As funções desses proprietários de serviços e dados são explicadas nas seções a seguir.

Proprietário da floresta

Normalmente, o proprietário da floresta é um gerente sênior de TI (tecnologia da informação) na organização, que é responsável pelo processo de implantação do Active Directory e que, por fim, é responsável por manter a entrega de serviços na floresta após a conclusão da implantação. O proprietário da floresta atribui indivíduos para ocupar as outras funções de propriedade, identificando os principais funcionários na organização que podem contribuir com as informações necessárias sobre a infraestrutura de rede e as necessidades administrativas. O proprietário da floresta é responsável pelo seguinte:

  • Implantação do domínio raiz da floresta para criar a floresta

  • Implantação do primeiro controlador de domínio em cada domínio para criar os domínios necessários para a floresta

  • Associações dos grupos de administradores de serviços em todos os domínios da floresta

  • Criação do design da estrutura da UO para cada domínio na floresta

  • Delegação de autoridade administrativa para os proprietários da UO

  • Alterações no esquema

  • Alterações nas definições de configuração em toda a floresta

  • Implementação de determinadas configurações de Política de Grupo, incluindo políticas de conta de usuário de domínio, como política de senha refinada e bloqueio de conta

  • Configurações de política de negócios aplicáveis aos controladores de domínio

  • Quaisquer outras configurações de Política de Grupo aplicadas no nível do domínio

O proprietário da floresta tem autoridade sobre toda a floresta. O proprietário da floresta é responsável por definir a Política de Grupo e as políticas de negócios, bem como selecionar os indivíduos que serão administradores de serviços. O proprietário da floresta é um proprietário de serviços.

Função DNS para AD DS

O proprietário do DNS para AD DS é um indivíduo que tem uma compreensão completa da infraestrutura DNS existente e do namespace existente da organização.

O proprietário do DNS para AD DS é responsável pelo seguinte:

  • Atuar como uma ligação entre a equipe de design e o grupo de TI atualmente responsável pela infraestrutura DNS

  • Fornecer as informações sobre o namespace DNS existente da organização para ajudar na criação do novo namespace do Active Directory

  • Trabalhar com a equipe de implantação para garantir que a nova infraestrutura DNS seja implantada de acordo com as especificações da equipe de design e verificar se está funcionando corretamente

  • Gerenciar a infraestrutura DNS para AD DS, incluindo o serviço do Servidor DNS e os dados DNS

O proprietário do DNS para AD DS é um proprietário de serviços.

Proprietário da topologia do site

O proprietário da topologia do site está familiarizado com a estrutura física da rede da organização, incluindo o mapeamento de sub-redes individuais, roteadores e áreas de rede conectadas por meio de links lentos. O proprietário da topologia do site é responsável pelo seguinte:

  • Entender a topologia de rede física e como ela afeta o AD DS

  • Entender como a implantação do Active Directory afetará a rede

  • Determinar os sites lógicos do Active Directory que precisam ser criados

  • Atualizar os objetos do site para controladores de domínio quando uma sub-rede é adicionada, modificada ou removida

  • Criar links de site, pontes de link de site e objetos de conexão manuais

O proprietário da topologia do site é um proprietário de serviços.

Proprietário da UO

O proprietário da UO é responsável por gerenciar os dados armazenados no diretório. Esse indivíduo precisa estar familiarizado com as políticas operacionais e de segurança que estão em vigor na rede. Os proprietários da UO podem executar apenas as tarefas que foram delegadas a eles pelos administradores de serviços e só podem fazê-lo nas UOs às quais forem atribuídos. As tarefas que podem ser atribuídas ao proprietário da UO incluem o seguinte:

  • Executar todas as tarefas de gerenciamento de conta na UO atribuída

  • Gerenciar as estações de trabalho e os servidores membros da respectiva UO atribuída

  • Delegar autoridade aos administradores locais na UO atribuída

O proprietário da UO é um proprietário de dados.

Como criar as equipes de projeto

As equipes de projeto do Active Directory são grupos temporários responsáveis por concluir as tarefas de design e implantação do Active Directory. Quando o projeto de implantação do Active Directory for concluído, os proprietários assumirão a responsabilidade pelo diretório e as equipes de projeto poderão ser desmanteladas.

O tamanho das equipes de projeto varia de acordo com o tamanho da organização. Em pequenas organizações, uma única pessoa pode abranger várias áreas de responsabilidade em uma equipe de projeto e estar envolvida em mais de uma fase da implantação. Grandes organizações podem exigir equipes maiores com diferentes indivíduos ou até mesmo equipes diferentes abrangendo as diferentes áreas de responsabilidade. O tamanho das equipes não é importante desde que todas as áreas de responsabilidade sejam atribuídas e as metas de design da organização sejam atendidas.

Como identificar possíveis proprietários da florestas

Identifique os grupos na sua organização que detêm e controlam os recursos necessários para fornecer os serviços de diretório aos usuários na rede. Esses grupos são considerados os possíveis proprietários da florestas.

A separação da administração de serviços e dados no AD DS possibilita que o grupo (ou os grupos) de TI de infraestrutura de uma organização gerencie o serviço de diretório, enquanto os administradores locais em cada grupo gerenciam os dados pertencentes a seus próprios grupos. Os possíveis proprietários da floresta têm a autoridade necessária na infraestrutura de rede para implantar e dar suporte ao AD DS.

Para organizações que têm um grupo de TI de infraestrutura centralizado, o grupo de TI geralmente é o proprietário da floresta e, portanto, o possível proprietário da floresta para quaisquer implantações futuras. As organizações que incluem vários grupos de TI de infraestrutura independentes têm vários possíveis proprietários da floresta. Se sua organização já tiver uma infraestrutura do Active Directory em vigor, todos os proprietários da floresta atuais também serão os possíveis proprietários da floresta para novas implantações.

Selecione um dos possíveis proprietários da floresta para atuar como o proprietário da floresta de cada floresta que você está considerando para implantação. Esses possíveis proprietários da floresta são responsáveis por trabalhar com a equipe de design, para determinar se a floresta será realmente implantada ou se um curso de ação alternativo (como ingressar em outra floresta existente) é o melhor uso dos recursos disponíveis e ainda atende às suas necessidades. O proprietário (ou os proprietários) da floresta na sua organização é membro da equipe de design do Active Directory.

Como estabelecer uma equipe de design

A equipe de design do Active Directory é responsável por coletar todas as informações necessárias para tomar decisões sobre o design da estrutura lógica do Active Directory.

As responsabilidades da equipe de design incluem o seguinte:

  • Determinar quantas florestas e domínios são necessários e quais são as relações entre as florestas e os domínios

  • Trabalhar com proprietários de dados para garantir que o design atenda aos requisitos administrativos e de segurança

  • Trabalhar com os administradores de rede atuais para garantir que a infraestrutura de rede atual dê suporte ao design e que o design não afetará negativamente os aplicativos existentes implantados na rede

  • Trabalhar com os representantes do grupo de segurança da organização para garantir que o design atenda às políticas de segurança estabelecidas

  • Criar estruturas de UO que permitem os níveis apropriados de proteção e a delegação adequada de autoridade para os proprietários de dados

  • Trabalhar com a equipe de implantação para testar o design em um ambiente de laboratório, para verificar se funciona como planejado, e modificar o design conforme necessário para resolver quaisquer problemas que ocorram

  • Criar um design da topologia do site que atenda aos requisitos de replicação da floresta, evitando a sobrecarga da largura de banda disponível. Para obter informações sobre o design da topologia do site, confira Como criar a topologia do site para o AD DS do Windows Server 2008.

  • Trabalhar com a equipe de implantação para garantir que o design seja implementado corretamente

A equipe de design inclui os seguintes membros:

  • Possíveis proprietários da floresta

  • Arquiteto de projetos

  • Gerenciamento de projetos

  • Indivíduos responsáveis por estabelecer e manter as políticas de segurança na rede

Durante o processo de design de estrutura lógica, a equipe de design identifica os outros proprietários. Esses indivíduos devem começar a participar do processo de design assim que forem identificados. Depois que o projeto de implantação é entregue à equipe de implantação, a equipe de design fica responsável por supervisionar o processo de implantação para garantir que o design seja implementado corretamente. A equipe de design também faz alterações no design de acordo com os comentários do teste.

Como estabelecer uma equipe de implantação

A equipe de implantação do Active Directory é responsável por testar e implementar o design da estrutura lógica do Active Directory. Isso envolve as seguintes tarefas:

  • Estabelecer um ambiente de teste que emule suficientemente o ambiente de produção

  • Testar o design implementando a estrutura de domínio e floresta proposta em um ambiente de laboratório, para verificar se ele atende às metas de cada proprietário da função

  • Desenvolver e testar cenários de migração propostos pelo design em um ambiente de laboratório

  • Garantir que cada proprietário aprove do processo de teste, para garantir que os recursos de design corretos estejam sendo testados

  • Testar a operação de implantação em um ambiente piloto

Quando as tarefas de design e teste são concluídas, a equipe de implantação executa as seguintes tarefas:

  • Criar as florestas e os domínios de acordo com o design da estrutura lógica do Active Directory

  • Criar os sites e objetos de link do site conforme necessário, com base no design da topologia do site

  • Garantir que a infraestrutura DNS seja configurada para dar suporte ao AD DS e que todos os novos namespaces sejam integrados ao namespace existente da organização

A equipe de implantação do Active Directory inclui os seguintes membros:

  • Proprietário da floresta

  • Função DNS para AD DS

  • Proprietário da topologia do site

  • Proprietários da UO

A equipe de implantação trabalha com os administradores de serviços e dados durante a fase de implantação, para garantir que os membros da equipe de operações estejam familiarizados com o novo design. Isso ajuda a garantir uma transição suave de propriedade, quando a operação de implantação for concluída. Após a conclusão do processo de implantação, a responsabilidade de manter o novo ambiente do Active Directory passa para a equipe de operações.

Como documentar as equipes de design e implantação

Documente os nomes e as informações de contato das pessoas que participarão do design e da implantação do AD DS. Identifique quem será responsável por cada função nas equipes de design e implantação. Inicialmente, essa lista inclui os possíveis proprietários da floresta, o gerente de projetos e o arquiteto de projetos. Ao determinar o número de florestas que você implantará, talvez seja necessário criar novas equipes de design para florestas adicionais. Observe que você precisará atualizar sua documentação, à medida que as associações de equipe forem alteradas, e identificar os vários proprietários do Active Directory durante o processo de design. Para obter uma planilha para ajudar você a documentar as equipes de design e implantação de cada floresta, baixe Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip do Kit de Implantação do Job Aids para Windows Server 2003 e abra "Informações da Equipe de Design e Implantação" (DSSLOGI_1.doc).